Koji koristite DNS

optical · 12.12.2024

alex303 je napisao(la):
Sve bi ti radilo bez problema.

I OPNSense i pfSense su next, next, finish metoda i sigurni su out of the box sa njihovim default podešavanjima.

Jednostavno je. Kod pfSense-a nema održavanja jer nema ni update-a. Kritične izmene se rade kroz system patches paket i to je to. OPNSense redovno dobija update-e i to je nekada bio veliki problem jer se dešavalo da update ubije sistem. Nedavno su ubacili boot environment backup što je fantastična stvar. Ako odradiš update i taj update ubije sistem, samo butuješ u prethodno stanje kao da ništa nije bilo. Ovo je slično system restore-u na Windowsu, samo što je na nivou ZFS file systema.

Više nego dovoljan.

Ako sam dobro razumeo, mada možda grešim, deluje da ne može da se reši bez uključivanja dodatnog rutera/uređaja u mrežu. Čak i kad bih u trenutnoj mreži hostovao OPNSense i koristio alternativu pfBlockerNGa za potrebe blokiranja reklama, opet ostaje onaj jedan element koji treba da pinguje sam OPNSense, vidi kad OPNSense LXC/VM nije online i preusmeri saobraćaj na sekundarni DNS.

alex303 · 12.12.2024

optical je napisao(la):
Ako sam dobro razumeo, mada možda grešim, deluje da ne može da se reši bez uključivanja dodatnog rutera/uređaja u mrežu.

Može. Ako ikako možeš da dođeš do PPPoE podataka od tvog provajdera, onda to što hostuješ može preuzeti ulogu glavnog routera i na taj način ostaješ samo iza CGNAT umesto CGNAT/NAT.

optical je napisao(la):
Čak i kad bih u trenutnoj mreži hostovao OPNSense i koristio alternativu pfBlockerNGa

pfBlockerNG je samo za pfSense. Ali i OPNSense ima svoj integrisani adblocker.

optical je napisao(la):
za potrebe blokiranja reklama, opet ostaje onaj jedan element koji treba da pinguje sam OPNSense, vidi kad OPNSense LXC/VM nije online i preusmeri saobraćaj na sekundarni DNS.

I OPNSense i pfSense podržavaju high availability setup. Tako da, što se toga tiče, nemaš problem. Jedino što moraš da hostuješ dve identične instance. Što opet neće biti problem ako ukloniš AGH.

Pogledaj ovde za pfSense ili ovde za OPNSense.

Ali stvarno mislim da nema potrebe da praviš HA setup u kućnim uslovima. Dovoljno je definisati sve upstream DNS-ove, i u slučaju da neki od njih ne radi, router sam prebacuje na drugi, treći... ili koliko ih već imaš.

optical · 12.12.2024

Provajder je supernova i ako je tačna info iz supernova teme, nažalost ne koriste PPPoE za auth. Doduše možda uskoro bude SBB, ali mislim da i tamo neće biti drugačije.

Ta druga instanca DNSa bi bila na drugom uređaju odnosno RPi zero, zato mi odgovara AGH.

Uzrok edge case-a zbog kog sam sve ovo i počeo da radim je elektrodistribucija. Povremeno nešto čačkaju i pale i gase struju, nekad i po 10-15 puta u toku sat vremena. Jedan smart box je već stradao zbog ovoga. Zato kad počne, pogasim sve uređaje (uključujući mini pc) osim rutera, RPi zero se napaja sa njega, pa kada radi ruter, radi i RPi.

E u ovom slučaju kad je mini pc offline, teorijski bi trebalo da sve ide preko RPi, što radi ok, ali kad su i mini pc i RPi online, dolazi do tog problema da se stranice učitavaju po 30 sekundi ili request time out-uje.

alex303 · 12.12.2024

optical je napisao(la):
Provajder je supernova i ako je tačna info iz supernova teme, nažalost ne koriste PPPoE za auth. Doduše možda uskoro bude SBB, ali mislim da i tamo neće biti drugačije.

Nebitno da li je PPPoE ili VLAN. Sve je podržano.

optical je napisao(la):
Ta druga instanca DNSa bi bila na drugom uređaju odnosno RPi zero, zato mi odgovara AGH.

Uzrok edge case-a zbog kog sam sve ovo i počeo da radim je elektrodistribucija. Povremeno nešto čačkaju i pale i gase struju, nekad i po 10-15 puta u toku sat vremena. Jedan smart box je već stradao zbog ovoga. Zato kad počne, pogasim sve uređaje (uključujući mini pc) osim rutera, RPi zero se napaja sa njega, pa kada radi ruter, radi i RPi.

Tebi je bolje da uzmeš neki jeftini UPS nego da gubiš vreme pokušavajući da osposobiš sve to.

snaplion · 09.01.2025

Koristim AdGuard,da li je mozda bolji Norton?

alex303 · 09.01.2025

snaplion je napisao(la):
Koristim AdGuard,da li je mozda bolji Norton?

Ne.

snaplion · 29.01.2025

Vidim da dosta hvale ControlD DNS.
Kako se moze ubaciti ovaj enkriptovani?

TwistedMind · 29.01.2025

snaplion je napisao(la):
Vidim da dosta hvale ControlD DNS.
Kako se moze ubaciti ovaj enkriptovani?

tek od win11 je moguce koristiti DoH unutar sistema. Naravno, postoje namenske aplikacije koje ovo omogucavaju.
na win11. settings, ethernet (ili wifi), dns assignment, edit, manual, ipv4, manual i tu onda podesis dns over https, takodje manual.

od aplikacija, adguard recimo moze da koristi dns protection pa unutar toga biras custom dns upstream.
Pre koji dan jeneko u win11 temu okacio video o jednom firewall programu koji takodje ima tu funkciju. Sve zavisi sta zelis da uradis.
Inace, i sam browser, pretpostavicu svaki chromium, ima opciju custom dns ako ti je dovoljno samo za surf, ali to ne ukljucuje os level, sto znaci da ce ostale aplikacije koristiti nesto drugo.

snaplion · 29.01.2025

Nasao sam u W11.

How To: Set Up Control D DNS on Windows 11 21H2 & 22H2

A step-by-step guide to setting up Control D on versions 21H2 and 22H2 of Windows 11.

controld.com

alex303 · 30.01.2025

snaplion je napisao(la):
Nasao sam u W11.

How To: Set Up Control D DNS on Windows 11 21H2 & 22H2

A step-by-step guide to setting up Control D on versions 21H2 and 22H2 of Windows 11.

controld.com

Ništa od client side podešavanja DNS-a nije dobro rešenje jer sve više aplikacija koristi QUIC protocol, a onda kroz njega radi DoT/DoH i na taj način u potpunosti zaobilazi client side settings.

Pravo rešenje za DNS su OPNSense, OpenWRT, pfSense ili MikroTik koji mogu da blokiraju QUIC protokol i na taj način forsiraju sve aplikacije da urade fallback na UDP protocol na port 53. A onda lokalni unbound ili DNSMASQ mogu da odrade DNSBL ako je potrebno, i da iniciraju sopstveni DoH/DoT ka upstream DNS serveru po vašem izboru.

Evo primera kod mene za WiFi uređaje.

Prvo ide inverted port forwarding rule koji će svaki DNS request uputiti na local resolve.

Nakon toga se na WiFi interfejsu napravi firewall pravilo koje će blokirati QUIC (UDP portovi: 80, 443, 853, 5353).

A onda se napravi 3 firewall pravila od kojih će prvi odraditi redirect na localhost, drugi će odraditi redirect na sam firewall (Unbound), a treći će blokirati bilo kakav drugi tip DNS requesta.

Nakon toga se DNS Resolver podesi da radi u forwarder režimu sa uključenom enkripcijom.

I napokon, se podesi upstream DNS koji je u mom slučaju Quad9.

Rezultat je sopstveni enkriptovani localni DNS over TLS server koji lokalno i brzo filtrira sav DNS saobraćaj. Ovaj DNS je nevidljiv i za internet provajdera i za VPN provajdera i ni jedan klijent ili aplikacija ne mogu da ga zaobiđu.

snaplion · 30.01.2025

Postoji li malo prostije resenje za nas manje upucene u mreze?

alex303 · 30.01.2025

snaplion je napisao(la):
Postoji li malo prostije resenje za nas manje upucene u mreze?

Postoji. Uplati VPN. Ali pitanje je, zašto bi se ti uopšte cimao oko DNS-a ako ti sve radi kako treba?

vladat1 · 30.01.2025

alex303 je napisao(la):
Ništa od client side podešavanja DNS-a nije dobro rešenje jer sve više aplikacija koristi QUIC protocol, a onda kroz njega radi DoT/DoH i na taj način u potpunosti zaobilazi client side settings.

Pravo rešenje za DNS su OPNSense, OpenWRT, pfSense ili MikroTik koji mogu da blokiraju QUIC protokol i na taj način forsiraju sve aplikacije da urade fallback na UDP protocol na port 53. A onda lokalni unbound ili DNSMASQ mogu da odrade DNSBL ako je potrebno, i da iniciraju sopstveni DoH/DoT ka upstream DNS serveru po vašem izboru.

Evo primera kod mene za WiFi uređaje.

Prvo ide inverted port forwarding rule koji će svaki DNS request uputiti na local resolve.

Pogledajte prilog 478629

Nakon toga se na WiFi interfejsu napravi firewall pravilo koje će blokirati QUIC (UDP portovi: 80, 443, 853, 5353).

Pogledajte prilog 478634

A onda se napravi 3 firewall pravila od kojih će prvi odraditi redirect na localhost, drugi će odraditi redirect na sam firewall (Unbound), a treći će blokirati bilo kakav drugi tip DNS requesta.

Pogledajte prilog 478631

Nakon toga se DNS Resolver podesi da radi u forwarder režimu sa uključenom enkripcijom.

Pogledajte prilog 478635

I napokon, se podesi upstream DNS koji je u mom slučaju Quad9.

Pogledajte prilog 478636

Rezultat je sopstveni enkriptovani localni DNS over TLS server koji lokalno i brzo filtrira sav DNS saobraćaj. Ovaj DNS je nevidljiv i za internet provajdera i za VPN provajdera i ni jedan klijent ili aplikacija ne mogu da ga zaobiđu.

Pogledajte prilog 478637

E ovo je pravo znanje

TwistedMind · 31.01.2025

Da li jos neko ima problem sa quad9?
Nesto mi sve ultra sporo. adguard home ima test za upstream i to mi ne prolazi. Koristim

https://dns10.quad9.net/dns-query

jimmytza · 31.01.2025

I meni je danas spor Quad9

nightshadow · 31.01.2025

Meni odjednom crkli i nextdns i google koje sam koristio kao upstream u adguardu. Sad vidim da koristi 8.8.8.8 koji je fallback upstream. Ne znam sta se desava

TwistedMind · 31.01.2025

nightshadow je napisao(la):
Meni odjednom crkli i nextdns i google koje sam koristio kao upstream u adguardu. Sad vidim da koristi 8.8.8.8 koji je fallback upstream. Ne znam sta se desava

Probao i ja nextdns i ista prica.
8.8.8.8, 1.1.1.1 rade.
9.9.9.9 i doh quad ne rade.
Ok, cisto da znam da nisam lud pre nego sto isprevrcem firewall, server i sve ostalo da nadjem problem.
Najvise me budni sto mi nextdns radi preko ip adrese, dok doh ne radi.

nightshadow · 31.01.2025

Evo ga rade sad oba, restartovao sam samo AGH kontejner
ko ce ga znati sta se zaglupelo

edit: ipak ne, brljavi mnogo i dalje

5xeVo · 31.01.2025

I ja sam još od sinoć imao problema sa quad9. Jutros sam morao vratiti na na ISP DNS. Nisam stigao opet da probam quad9 danas/večeras.

alex303 · 31.01.2025

Quad9 ne radi do daljnjeg. Verovatno ih je Sony opet nagazio jer nisu hteli da sarađuju.
Iskoristite Mullvad DNS dok se ovo sa Quad9 ne reši. Rade i DoH i DoT.

dns.mullvad.net	194.242.2.2	2a07:e340::2	443	853
adblock.dns.mullvad.net	194.242.2.3	2a07:e340::3	443	853
base.dns.mullvad.net	194.242.2.4	2a07:e340::4	443	853
extended.dns.mullvad.net	194.242.2.5	2a07:e340::5	443	853
family.dns.mullvad.net	194.242.2.6	2a07:e340::6	443	853
all.dns.mullvad.net	194.242.2.9	2a07:e340::9	443	853

TwistedMind · 31.01.2025

the plot thickens.
194.242.2.2 radi dok dns.mullvad.net ne radi
Probao sam da u pfsense iskljucim quic doh rule, ali nije pomoglo.

alex303 · 31.01.2025

TwistedMind je napisao(la):
the plot thickens.
194.242.2.2 radi dok dns.mullvad.net ne radi

Izgleda da nije samo Quad9 u problemima. Možda je neki CDN u problemu.

jimmytza · 31.01.2025

Na https://dnsspeedtest.online/ za njih pise Unavailable

Screen Shot 2025-01-31 at 7.36.34 PM.png

alex303 · 31.01.2025

Kod mene radi Mullvad, ali je odziv katastrofalan.

snaplion · 31.01.2025

I kod mene na androidu zeza Quad9,ubacio ControlD i sve sljaka.

c h e · 01.02.2025

Quad9 incident report:

Service Degredation - Manchester, Warsaw, Boston, Marseille, Sofia, Lisbon

Quad9 Public Network Status Page's Status Page - Service Degredation - Manchester, Warsaw, Boston, Marseille, Sofia, Lisbon.

uptime.quad9.net

Ko zna šta im se desilo na evropskim serverima da su jedan (buraski) morali komplet offline da ostave.

TwistedMind · 01.02.2025

Mislim da quad9 sada radi kako treba. Vratio na adguard home i ok je i odziv

alex303 · 01.02.2025

Radi za sada.

nightshadow · 07.02.2025

Kod mene quad9 i nije bas najsrecniji latency wise:

alex303 · 08.02.2025

nightshadow je napisao(la):
Kod mene quad9 i nije bas najsrecniji latency wise:

Kod mene je ok.

Koji koristite DNS

Slavan

Moderator

Slavan

Moderator

Banned

Moderator

Banned

Prilozi

Čuven

Banned

Moderator

Banned

Moderator

- CoH -

Čuven

Cenjen

Čuven

Prilozi

Čuven

Čuven

Prilozi

Slavan

Moderator

Čuven

Moderator

Cenjen

Moderator

Banned

Čuven

Čuven

Moderator

Čuven

Prilozi

Moderator